ランサムウェアGandCrab:その多様なターゲットと攻撃手法

2019年3月14日

ランサムウェアに関する報道は以前ほど見られなくなっていますが、ランサムウェアが活動をやめたのではありません。

ランサムウェアGandCrabが、これまで以上に猛威を振るっています。GandCrabは犯罪者チームによって開発され、できる限り多くのターゲットを暗号化しようと考える他の悪者に貸し出されている「サービスとしてのランサムウェア」です。定期的に亜種が登場し、ランサムウェア市場全体のおよそ40%(英語記事)をGandCrabが占めるとされています。GandCrabを拡散させる攻撃者もさまざまで、標的を感染させるために実に多様な方法を繰り出しています。

センチメンタルな心を狙う

「My love letter to you」(あなたへのラブレター)、「Fell in love with you」(あなたに恋をしました)、「Wrote my thoughts down about you」(あなたへの気持ちを書きました)といった件名のメールが届いたら、ついクリックしたくなるかもしれません。特にバレンタインデーや誕生日の前後など、心にすきま風が吹いているタイミングでこういったメールを受け取ると、怪しいと感じるセンサーが反応しないかもしれません。しかし、こんなときこそ慎重さが求められるときです。

このところ出回っているのは、件名にロマンチックなフレーズ、本文にはハートのマークを使い、添付ファイルが付いているタイプです。添付ファイルはZIP形式で、「Love_You」の後ろに数桁の数字が付いたファイル名が使われています。これを解凍して中のJavaScriptファイルを実行すると、GandCrabというランサムウェアがダウンロードされます。

そして、コンピューターの全データが暗号化されたこと、身代金(Bitcoinであることが多い)を払えばデータを取り戻せることが書かれたメッセージが表示されます。仮想通貨の使い方を知らない人向けにはライブチャットウィンドウが開き、必要な額を購入して身代金を支払う方法を親切にも教えてくれます。

企業を狙う

2017年のこと、IT企業向けの2つの管理システム同士でデータを同期するためのツールに脆弱性が見つかり、パッチがリリースされました。しかし全員が全員、パッチをインストールしたわけではありませんでした。そして2019年、GandCrabはパッチをインストールしなかった人たちを狙い(英語記事)、感染したコンピューターを暗号化しています。

この脆弱性は、新しい管理者アカウントを作成し、管理対象のエンドポイントにランサムウェアをインストールするコマンドを送信可能とするものです。つまり、攻撃を受けた企業の顧客のマシンを暗号化し、支払い(仮想通貨)を要求することが可能なのです。

用心する心を狙う

勤務先のビルの緊急時脱出用マップが更新されたという名目で添付ファイル付きのメールが送られてきたら、どれほどの人がファイルを開いてしまうでしょうか?まったく知らないアドレスから送られてきた場合は?ほとんどの人がファイルを開いてしまうことでしょう。そもそも、社内の安全管理担当者の名前を覚えている人はほとんどいないでしょうし。

攻撃者はここを突いて(英語記事)、悪意あるWordファイル付きのメールを送っています。この文書を開くと、「Emergency exit map(緊急時脱出用マップ)」というタイトルと [Enable Content(コンテンツを有効にする)]というボタンだけが表示され、ボタンをクリックするとGandCrabがインストールされます。

支払い処理の担当者を狙う

このほか、WeTransferでダウンロードできる形式の請求書や領収書を装ったメールを使う方法もあります。メール内のリンクはZIPファイルやRARファイルに誘導するもので、ファイルを開くためのパスワードも提供されています。ファイルの中に何があるのか、言うまでもありません。

イタリア人を狙う

ほかにも、Excel形式の添付ファイルで「支払い通知」を送る方法があります。ファイルを開こうとするとダイアログウィンドウが表示され、オンラインではプレビューできないので[Enable edit(編集を有効にする)]と[Enable content(コンテンツを有効にする)]をクリックして内容を確認するように、と指示されます。

不思議なことに、この攻撃はイタリア人だけを標的にしているようです(少なくとも現在のところは。リンク先は英語)。指示されたボタンを押すとスクリプトが実行され、そのコンピューターがイタリアにあるかどうかがOSの設定言語に基づいてチェックされます。

イタリア語でなければ、特に何も起こりません。イタリア国内にあると判断された場合は、攻撃者なりのユーモアなのでしょうが、マリオの画像が表示されます。スーパーマリオブラザーズのあのキャラクターです。

マリオの画像には、マルウェアをダウンロードする悪意あるコードが含まれている

この画像は、ファイルの中身を見ようとボタンをクリックしたときにダウンロードされます。中身は悪意あるPowerShellコードで、マルウェアのダウンロードが始まります。具体的にどのマルウェアなのかについては現時点でリサーチャーの意見が分かれており、データを暗号化するGandCrab(英語記事)だとする見方と、オンラインバンキングアカウントの認証情報を盗み取るUrsnif(英語記事)であるとの見方があります。ただ、重要なのはどちらのマルウェアかではなく、マルウェアがどう侵入するかです。

マルウェアを寄せ付けないために

このように、GandCrabはさまざまなタイプの人々を通じて拡散されています。しかし、拡散の方法はさまざまでも、基本的な対策を講じることでGandCrabの魔のハサミから逃れることができます。

  • 予期しないメールが届いたときには、添付ファイルを開く前に、そのメッセージに怪しいところがないかどうか確認する。送信者に電話して確認するのも1つの手です。
  • 緊急時に備え、重要なデータは常にバックアップを取る。確実に保存および復元できることを、テストして確認しておきましょう。
  •  コンピューターにランサムウェアが入り込まないように、十分な機能を備えたセキュリティ製品を使用する。

被害を予防するのが一番ではありますが、万一すでにGandCrabによってコンピューターが暗号化されてしまっている場合でも、被害を最小限に抑えることは可能です。

  • No More RansomプロジェクトのWebサイトで、復号ツールの有無を確認する。このWebサイトでは、ランサムウェアが暗号化したファイルを復号するためのツールを無料で提供しています。GandCrabのバージョンによっては、データの暗号化を解除できる場合があります(全バージョンに対応しているとは限らない点にご留意ください)。
  • 復号ツールをダウンロードして実行する前に、信頼できるアンチウイルス製品を使用して、デバイスからランサムウェアを削除してください。最初にランサムウェアを駆除しておかないと、システムのロックやファイルの暗号化が繰り返し発生します。